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格 上 基于 身份 的 可 问 责 代理 重 加 密 方案 
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摘 要 : 针对 目前 基于 格 的 代理 重 加 密 方案 中 存在 密 钥 滥 用 和 数字 证 书 管理 等 问题 ， 引 入 问 责 机 制 ， 提 出 一 种 新 的 
基于 身份 的 可 问 责 代理 重 加 密 方 案 。 该 方案 采用 用 户 身份 ID 计算 生成 矩阵 作为 公 钥 ， 并 使 用 原 像 采样 算法 提取 私 
钥 ， 解 决 了 数字 证 书 管理 的 问题 ; 使 用 双方 用 户 公 铀 计算 生成 重 密 钥 ， 提 高 了 加 解密 时 的 计算 效率 ; 使 用 代理 商 公 
私 钥 参与 重 加 密 运 算 ， 完 成 问 责 算法 ， 有 效 地 抑制 了 代理 商 和 被 授权 者 共 谋 的 行为 。 安 全 性 分 析 表 明 方 案 满足 选择 
明文 攻击 安全 ; 在 效率 方面 ， 方 案 的 计算 复杂 度 和 密 文 开 销 较 小 。 
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Identity-based accountable proxy re-encryption Scheme from lattice 


Meng Hui', Ren Lina, Li Ying 
(School of Computer Science & Technology, Henan Polytechnic University, Jiaozuo Henan 454003, China) 


Abstract: Aiming at the problems of key abuse and digital certificate management in the current lattice-based proxy re- 
encryption scheme, this paper proposed a new identity based accountable proxy re encryption scheme by introducing the 
accountability algorithm. This scheme used the user ID to calculate matrix as the public key and used the pre-image sampling 
algorithm to extract the private key, which solved the problem of digital certificate management; used the public keys of both 
users to calculate and generate the re-encryption key, which improved the computational efficiency of encryption and 
decryption; used the proxy's public and private keys to participate in the re-encryption calculation, completed the 
accountability algorithm, and inhibited the collusion of the proxy and the delegatee. The security analysis shows that the 
scheme satisfies the chosen-plaintext attack security. In terms of efficiency, the scheme has less computational complexity 
and ciphertext overhead. 
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0 ”引言 With Errors) 难 题 构 造 了 一 个 PRE 方案 ， 有 效 缩短 了 密 文 、 密 
只 钥 尺寸 ， 提 高 了 加 解密 的 效率 。 但 是 ， 以 上 几 种 方案 都 具有 

目前 ， 云 存储 和 云端 数据 共享 在 网 络 数据 存储 与 计算 中 双向 性 ， 不 能 抵抗 合谋 攻击 ， 且 存在 密 钥 泄漏 等 安全 问题 。 

5 据 核 心地 位 ， 用 户 将 大 量 的 数据 存储 在 网 络 云 盘 中 ， 减 轻 2016 年 ，Kimlg 等 人 提出 了 第 一 个 基于 最 坏 情况 的 格 上 难题 
自己 存储 设备 的 负担 ， 同 时 ， 更 利于 用 户 之 间 共 享 数据 。 在 满足 单 向 性 的 代理 重 加 密 方案 ， 方 案 中 的 被 授权 者 无 法 感 
复杂 的 网 络 环境 中 ， 用 户 为 了 保护 数据 隐私 需要 将 数据 加 密 知 代理 商 的 存在 ， 即 使 用 重 密 钥 加 密 的 密 文 和 使 用 被 授权 方 
后 再 上 传 至 云 服 务 器 存储 或 共享 ， 但 是 ， 数 据 发 送 者 需要 实 公 钥 加 密 的 密 文 是 不 能 被 区 分 的 。2020 年 ，wang[ 等 人 指出 
时 查看 是 否 有 用 户 访问 数据 ， 并 将 要 访问 的 数据 下 载 后 转发 了 Kim 方案 中 重 加 密 密 文 无 法 解密 或 解密 错误 率 高 的 问题 ， 
给 数据 接收 方 。 代 理 重 加 密 解 决 了 传统 云 计算 环境 中 数据 拥 提出 了 一 个 新 的 满足 单 向 性 的 代理 重 加 密 方案 ， 经 证 明 方案 
有 者 需要 实时 在 线 的 问题 ,减轻 了 用 户 频 繁 访问 云端 密 文 数 满足 选择 明文 攻击 (Chosen-plaintext Attack，CPA) 安 全 。2021 
据 的 负担 , 增强 了 数据 的 可 靠 性 和 机 密 性 。1998 年 , Blaze 等 年 , Dutta 等 人 [sl 提 出 第 一 个 针对 选择 性 和 自 适 应 身份 的 抗 合 
人 串 首次 提出 了 代理 重 加 密 (Proxy Re-encryption，PRE) 的 概 谋 单 向 IB-PRE 的 具体 构造 ， 所 提 结 构 具 有 非 交 互 性 和 非 传 


虽 


念 ， 在 公 钥 加 密 系统 中 加 入 代理 商 的 角色 ， 并 由 代理 商 使 用 ，” 递 性 ， 不 满足 多 跳 性 。 

重 密 钥 完成 密 文 转换 。2007 年 ，Green 等 人 馈 第 一 次 提出 了 2013 年 ，Wang 等 人 中 提出 了 一 个 新 的 原 语 PRE*， 与 
基于 身份 的 代理 重 加 密 (IB-PRE) 方 案 ， 方 案 中 ， 公 钥 直 接 使 志 统 PRE 的 不 同 点 在 于 解密 权 的 委托 者 不 同 。 传 统 PRE 
用 用 户 身 份 也， 公 钥 基础 设施 中 的 证 书 管理 问题 得 到 解决 ， 解密 权限 的 委托 者 是 密 文 接收 方 ， 而 PRE' 解 密 权限 的 委 
该 方案 满足 多 跳 性 和 非 交 互 性 。 然 而 ， 随 着 量子 计算 机 的 发 。 托 者 是 密 文 发 送 者 ， 即 加 密 者 将 解密 权 委托 给 被 授权 者 。 
展 ， 传 统 数论 难题 的 安全 性 受到 威胁 。2010 年 ，Xagawa 等 重 密 钥 生成 算法 中 的 输入 元 素 不 同 , 传统 PRE 由 密 文 接 
人 上 首次 提出 了 格 上 的 代理 重 加 密 方案 ， 该 方案 不 仅 可 以 能 方 的 私 钥 与 被 授权 者 的 私 钥 或 公 钥 生成 重 密 钥 , 而 PRE* 


食 
够 抵抗 量子 攻击 还 降低 了 计算 复杂 度 。2014 年 , Singh 等 人 向 ” 是 由 两 者 的 公 钥 生成 重 密 钥 。2020 年 ，Singh 等 人 09 提 出 
将 身份 基 和 代理 重 加 密 融 合 ， 提 出 了 一 个 可 以 加 密 多 比特 信息 了 单 向 的 PRE 和 PRE- 方案 ，PRE- 能 够 提高 加 解密 时 的 计 
的 PRE 方案 ， 提 高 了 运算 效率 。 而 且 所 提 方 案 满足 匿名 性 、 ” 算 效 率 ， 适 用 于 细 粒 度 授权 和 不 可 转让 授权 ， 在 安全 云 计 
多 跳 性 。2021 年 ， 汤 永利 等 人 品 利 用 RLWE (Ring Learning 算 和 组 播 等 方面 应 用 广泛 ,被 授权 者 和 代理 商 的 合谋 攻击 虽 
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然 不 会 暴露 授权 者 的 长 期 密 铀 ， 但 是 ， 他 们 可 能 合谋 并 为 不 在 一 个 概率 多 项 式 时 间 (Probabilistic Polynomial-time, PPT) 算 
受 委托 方 信 任 的 恶意 用 户 提 供 新 的 重 密 钥 。 另 外 ， 由 于 代理 法 TrapGen(g,n) 生成 矩阵 A4eZr” 和 Ai(4) 的 一 组 基 TeZy”" ， 其 
重 加 密 的 固有 功能 可 能 会 使 PRE 方案 存在 重 密 钥 滥用 问题 ， 中 4 在 2" 上 的 分 布 与 均匀 分 布 是 不 可 区 分 的 ， 且 


即 代理 商 和 被 授权 者 合谋 获得 授权 者 的 解密 能 力 ， 并 将 其 保全 <owaggp 和 人 忆 |<owlogg) 以 绝对 的 优势 成 立 。 
存在 任何 载体 上 , 如 解密 设备 .为 了 缓解 这 个 问题 , 2005 年 ， 1.2 ”离散 高 斯 分 布 
Ateniese 等 人 [0 提出 不 可 转让 的 概念 ， 当 Bob 和 代理 商 合谋 高 斯 分 布 常用 于 格 上 困难 问题 的 研究 ， 本 节 将 对 离散 高 
分 发 Alice 的 解密 能 力 时 ，Bob 必须 公开 他 自己 的 解密 能 斯 分 布 和 其 相关 引 理 作 出 详细 介绍 。 
作为 代价 。2019 年 ，Guo 等 人 (2 使 用 不 可 区 分 性 混淆 和 K- 对 于 VseR, ,ceR" ,定义 m 维 格 A 上 的 离散 高 斯 分 布 : 
不 可 伪造 认证 构造 了 不 可 转让 的 代理 重 加 密 方案 。 不 可 转让 PR 
性 对 恶意 用 户 有 一 定 的 威慑 作用 ， 但 是 ， 当 Bob 的 密 钥 远 没 YY pi) 之 Pen 
有 数据 拥有 者 的 密 钥 有 价值 时 ，Bob 可 能 会 为 了 更 大 的 利益 文献 [14] 中 介绍 了 原 像 采样 算法 ， 其 中 包含 的 SamplePre 
而 公开 自己 的 解密 能 力 。 此 时 代理 商 可 以 从 中 分 发 Alice 的 。 算法 负责 使 用 陷 门 基 T 求解 给 定 像 值 w 对 应 的 原 像 值 * 。 
解密 能 力 ， 却 不 用 付出 任何 代价 ， 甚 至 否认 自己 的 恶意 行为 。 引 理 204 SamplePre(4,Ti,0,w) 已 知 格 Ai(4) 上 的 一 个 陷 
2021 年 ，Guo 等 人 [3 为 了 解决 上 述 问题 提出 了 可 问 责 的 代理 重 。 门 基 7,， 实 数 。> 区 eVisgn) ， 对 于 任意 向 量 w*eZ， 存 在 一 个 
加 密 (Accountable Proxy Re-encryption, APRE) 方 案 , 并 引入 一 个 PPT 算法 SamplePre(4,T,,o,u) ， 在 统计 量 接近 Prywwal%) 的 分 布 
判断 算法 来 判断 代理 商 是 否 不 承认 自己 分 发 授权 者 解密 能 力 ”中 抽取 一 个 向 量 xsA;(4) ， 满 足 hz =u(modg) 。 
的 行为 。 可 问 责 代 理 重 加 密 模型 如 图 1 所 示 。 引 理 303 设 正 整 数 n ,4 ,其 中 4 为 素数 , m>2nlog,q 。 
| ji | 那么 对 于 4e23" ，ozotfoBmm) ，e Dr。，w=Aemodg 的 分 布 
中 ， =D “Rel 与 2 上 的 均匀 分 布 的 统计 量 相近 。 
用 户 A M3 代理 商 用 PB 。 PKA 1.3 格 上 困难 问题 
' 定义 209 小 整数 解 问题 SIS。 给 定 素数 4>0 ， 随 机 选 
人 怠 。， 兴 四 择 和 矩阵 Bs2Zy" ,找到 一 个 非 零 向 量 we29 ,使 Bu=0modg ,并 
人 na 满足 Ie<5， 其 中 ， 常 数 5>0 。 
由 文献 [17] 给 出 从 最 坏 情 况 困难 到 SIS 的 归 约 ,证 明 SIS 问 
ED 题 在 某 些 参数 下 是 足够 困难 的 。 
i 定理 107 设 整数 w>1，m= poly(n) 和 实数 8>B,>1， 令 
图 1 可 问 责 代理 重 加 密 模型 Zz*={zeZ": 有 kp <B.} 并且 gz2Bw ,常数 5>0 。 则 求解 解 集 
Fig.1 Accountable proxy re-encryption model 为 Z*\{0} 的 515%4s 问题 至 少 与 在 n 维 格 上 将 最 坏 情况 下 的 格 
为 了 解决 公 钥 加 密 中 的 数字 证 书 管理 和 密 钥 滥用 等 问题 ， “问题 逼近 到 maxfLp.p.14.60VD 一 样 困难 。 
基于 文献 [13] 中 的 问 责 算 法 构造 一 个 新 的 格 上 基于 身份 的 可 定义 319 带 错误 学 习 问 题 LWE。 给 定 正 整 数 n 和 q， 
问 责 代理 重 加 密 方案 。 利 用 用 户 身份 ID 计算 生成 一 个 矩阵 ”选择 均匀 随机 的 矩阵 4e2Z” 和 向 量 seZ;, 向 量 ewr 服从 错 
作为 公 铀 ， 取 代 传 统 公 钥 加 密 体制 中 将 用 户 身份 和 公 钥 联系 误 分 布 。LWE 困难 问题 就 是 给 定 (4,47s+e) ， 以 不 可 忽略 的 


起 来 的 数字 证 书 ， 使 用 原 像 采样 算法 提取 私 钥 ， 并 且 令 代理 。 概率 寻找 s。 

商 公私 钥 参 与 重 密 钥 和 重 加 密 的 计算 ， 最 后 ， 使 用 一 个 公开 定义 4 四 ”LWE,;y 判定 问题 DLWE。 设 正 整 数 n,，m 以 及 

的 审判 算法 判断 恶意 代理 是 否 在 否认 自己 分 发 授权 者 解密 能 。 素数 qg，x" 是 2 上 的 高 斯 分 布 。LWE 的 判定 性 问题 是 指 通 

力 的 行为 。 与 文献 [13] 不 同 的 是 ， 本 文 方案 基于 带 错误 学 习 ” 过 随机 给 出 一 系列 来 自分 布 A 的 独立 抽样 或 者 来 自 2xZ。 

(Learning with Error，LWE) 困 难 假设 ， 使 用 用 户 身 份 作为 公 ”的 均匀 随机 抽样 ， 判 断 抽样 是 否 来 自分 布 A;x 的 问题 。 

钥 并 使 用 授权 者 公 钥 参与 重 密 钥 的 运算 。 安 全 分 析 表 明 ， 方 文献 [18] 中 给 出 了 LWE 和 DLWE 的 关系 以 及 从 最 短 向 

案 在 标准 模型 下 达到 适应 性 选择 身份 的 选择 明文 攻击 安全 下 量 问题 (SVP) 到 LWE 的 归 约 ， 证明 LWE 对 于 某 些 参 数 是 足 

的 不 可 区 分 性 (IND-aID-CPA)。 效 率 分 析 则 说 明 方 案 在 存储 空 ” 够 困难 的 。 

间 、 性 能 和 复杂 度 上 的 优势 。 定理 2081 n,g 为 正 整 数 ,实数 xs(0D ,满足 ag>Van。 

1 ”预备 知识 若 LWE 问题 能 被 一 个 有 效 的 算法 解决 ， 那 么 近似 决策 性 
、 入 最 短 向 量 问题 (Gap-SVP) 和 最 短 独立 向 量 问 题 (SIVP) 的 最 

1.1 格 坏 情况 问题 也 能 够 被 一 个 量子 算法 以 61a) 的 时 间 复 杂 度 

设 B={b1,by,…,b,} 是 由 了 中 个 向 量 组 成 的 矩阵 , 且 这 些 解决。 
句 量 是 线性 无 关 尽 这 mn 个 向 量 的 所 有 数 的 线性 组 合 
向 量 是 线性 无 关 的 ， 则 这 n 个 向 量 的 所 有 整 系数 的 线性 组 合 2 ”可 问 责 代理 重 加 密 定义 及 安全 模型 


所 构成 的 集合 为 一 个 m 维 格 和 A， 即 : 
人 =LC(B)={ye R", stas eZ",y = Bs = Ysb) el 可 问 责 代理 重 加 密 的 定义 Ee 
下 面 是 对 身份 基 可 问 责 代理 重 加 密 定义 的 介绍 ， 安 全 参 
其 中 : 5b,b2,…,b 是 格 人 的 一 组 基 , 当 mw=n 时 , 称 格 人 是 满 秩 格 。 数 为 4 。 


ws 


定义 1 设 q 为 素数 ,矩阵 4e2" ， 定 义 两 个 m 维 满 秩 (1) 初 始 化 Setup(D : 输入 安全 参数 4 ， 输 出 公共 参数 

整数 格 : params 和 主 私 钥 msk ; 
A;(A)={e e2",st.Ae =0(mod gq)} (2) 私 钥 提 取 Extract(params,msk,id) : 输入 Params ，msk 和 用 
A,(A)={y eZ",st3s eZ’,ATs = y(mod gq)} 户 id ， 输出 j 户 私 钥 SK ; 

格 上 的 陷 门 函数 在 格 密码 学 中 有 着 广泛 的 应 用 ， 陷 门 基 (3) 加 密 Enc(params,id;,m) : 输入 id; 和 明文 mw ， 输 出 二 级 密 
是 格 的 一 个 短 基 ， 方案 中 使 用 陷 门生 成 算法 产生 的 陷 门 基 作 文 G; 
为 主 私 钥 。 (4) 重 密 钥 生 成 ReKeyGen(params,idi,idj,id,) : 以 公共 参数 

引 理 104 陷 门 生成 算法 : 整数 gq>3 ，m=|6nlogg|。 存 Params 和 双方 用 户 及 代理 商 的 身份 i4 作为 输入 , 输出 重 密 钥 六 ; 
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各 : 格 上 基于 身份 的 可 问 责 代理 重 加 密 方案 


D,;, € A.0 (params,id;p) 


W 
Where uis a non-negligible probability value; 
If Judgep… (Ga ,id )=Proxy 

Return 1; 


else return 0. 


录用 定稿 

(5) 重 加 密 ReEnc(params,rk,j,SK,,C) : 输入 rk,;， 代 理 商 私 
钥 SK, 和 GC, 输出 一 级 密 文 C; ; 

(6) 二 级 密 文 解密 Decs(params,SKi,C) : 输入 5K; 和 二 级 密 
文 C ， 算 法 解密 恢复 出 明文 m; 

(7) 一 级 密 文 解密 Deci(params,SK,,C,)) : :输入 SK; 和 一 级 密 文 
C,) 9 输出 明文 m; 

(8) 问 责 算法 Jodge?*(params,idi,id,) ， 通 过 黑 盒 访问 解密 设 


备 Dv， id 和 id; 作为 输入 ,i 该 算法 输出 
输出 结果 即 为 恶意 解密 设备 的 生成 者 。 
正确 性 : 


Dec:(Para111s,9K; ,Enc(Pa1a1zzs,id 


Proxy 或 Delegator， 


方案 满足 以 下 两 个 条 件 ， 即 可 正确 恢复 明文 。 


,Mm)=m 和 


Deci(params, SK;, ReEnc( params, rk; ,;, SKp,Enc( params, id,,m)))=m 


2.2 ”可 问 责 代理 重 加 密 的 安全 模型 


定义 7 恶意 授权 者 安全 。 
ADVaka (n) =|Pr[ExpBks a (1) =]| 


当 所 有 PPT 敌手 .4 的 优势 ADVY 咒 440 是 


案 是 恶意 授权 者 安全 的 。 
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敌手 A 的 优势 被 定义 为 


可 忽略 的 ， 称 方 


如 果 PRE 方案 同时 满足 恶意 代理 多 
则 称 这 个 方案 满足 可 问 责 性 。 


代理 重 加 密 方案 


2.2.1 CPA 安全 


本 小 节 将 介绍 基于 IND-aID-CPA 游戏 的 可 问 责 代 理 重 
加 密 ;安全 模型 ， 设 安全 参数 为 14， 游戏 是 由 敌手 A 和 下 列 
预言 机 组 成 ， 过 程 如 下 : 

初始 化 阶段 :挑战 者 C 将 Setup(4) 输出 的 公共 参数 params 
发 送 给 敌手 A。 

阶段 1: 敌手 A 发 出 问 询 ， 挑 战 者 C 作 出 回答 : 

私 钥 生成 预言 机 Osx : 使 用 Extract(params,msk,id;) 生成 用 户 


私 钥 SK; 并 存储 ， 当 敌手 .4 输 


重 密 钥 生 成 预言 机 Ou 
ReKeyGen 生成 的 重 密 钥 以 
重 加 密 预 言 机 O. : 
入 CSK CD) ， 


挑战 预言 机 Oc : 
预言 机 
C = Enc(id’,m,) 。 
猜测 : 
则 输出 0。 
定义 5 


1110，111  o 


站 入 地 时 ,， 若 | 
则 挑战 者 C 发 送 SK; 给 敌手 A。 


] 户 i 为 恶意 用 户 ， 
人 否则， 发送 上 ; 
敌手 A 输入 (idi,id ,id,) 了 得 到 


7 


如 果 / 
输出 上 ; 

C),= ReEnc(ReKeyGen(id;,id,,id,), SK,,C:;) ; 
敌手 A 输入 
随机 选择 be{0,1} ， 


j 户 j 是 不 诚实 的 ， 则 敌手 A 输 
否则 ， 输 出 重 加 密 后 的 密 文 


an 


人 


] 户 和 两 个 消息 
挑战 者 密 文 


标 
返 


| 


输入 b'e{0,}， 如 果 b'=b， 则 


IND-CPA 安全 。 


挑战 者 C 输 出 


定义 敌手 A 的 优势 为 


1 
ADVRE2™ (m) 4 Pr[ExpREA"(n) =1] -| 


当 ADVREX*0D 是 可 忽略 的 , 称 方案 


2.2.2 恶意 代理 安全 


是 IND-CPA 安全 的 。 


若 敌 手 输出 的 解密 设备 使 号 
则 敌手 赢得 游戏 。 


Experiment ExppRe 4 (7) 
Params <— Setu 
SK, < Extract( 


实验 过 程 如 下 0 


p(4) 


params,id, ) 


D;, © A (params,id,, SK,) 


Ew 


Where is a non-negligible probability value; 


If Judgep (id 


,id,) = Delegator 


审判 者 相信 诚实 的 授权 者 有 罪 ， 


Return 1; 
else return 0. 


定义 6 


恶意 代理 安全 。 


敌手 的 优势 被 定义 为 


ADVets a (n) =| Pr[ExppRe, 4(n) =1]| 


当 所 有 PPT 敌手 A 的 优势 ADVR&) 是 可 忽略 的 ， 方 案 满 


足 恶意 代理 安全 。 
2.2.3 恶意 授权 者 安全 
根据 下 面 实验 ， 当 解密 


Experiment ExpBRe 4 (n) 
params <— Setup(4) 
SK, < Extract( params,id, ) 


设备 Di 使 审 ; 


引 者 相信 诚实 的 代 


理 商 有 罪 ， 则 敌手 赢得 游戏 。 


3.1 


方案 构造 


本 文 基于 


与 基于 身份 


的 加 密 体 制 ， 


加 密 方案 ， 

(D 初 始 
门 基 
人 <ownias ， 


方案 


L 体 构造 如 下 : 
化 Setup(4) : 


m+l 个 和 矩阵 UUo,UDU,..， 
UUn) 


mpk = (A,U,, 
params = (m,n, 


(2) 私 钥 


| 


U=U, + 2 idU, 


(3) 加 密 
me{0,1})”, 随 


主 私 钥 msk 和 


U, €E Dm 


q, mpk) 。 

是 取 Extract(params,msk,id) : 输 
户 / 代 理 身份 id=t{id,id; 
于 用 原 像 采 样 


=(W ,U2 ln) ， 


私 钥 SK=X。 
输入 用 


户 / 代 理 


Enc( params,id;,m) : 


句 量 ys 用 


问 责 算法 与 LWE 困难 问题 ， 


主 私 钥 msk= 


无 关 ， 


了 


入 公 


Te 


上 fe 


全 和 恶意 


授权 者 安 


4 为 安全 参数 , 随机 矩阵 4eZ2” 和 陷 
抢 阵 Ts2o”" 由 陷 门 生成 算法 TrapGen(q,n) 生成 ， 

陷 门 函数 有 (x)=Axmodg(f :2Z” 二 22) 。 
且 线 性 


结合 代理 重 加 密 
提出 格 上 基于 身份 的 可 问 责 代理 重 


随机 选择 


则 主 密 钥 为 


公 六 


共 参 


ZN 2 


id,} s 


参数 params， 
{0] ， 计 算 


算法 产生 个 向 量 
E29， 使 其 满足 w=Aximodg ， lmlsav。 令 天 =Copoesazn)， 
则 AX=Umodg，| 
户 i 的 身份 id; 和 明文 


机 选择 


eer” 


gy 


y=A's+te ， 输 出 二 级 密 文 C=(C,)) 。 


(4) 重 


用 户 身份 id;， 
密 钥 届 ,-(07 
(5) 重 加 密 ReEnc( params, rk ,; 


算 重 


理 商 私 钥 


C=C, +rk, 


(6) 二 级 密 文 解密 Dec, (params, SK,,C.) : 
文 G ,计算 m=G -SKiy(modg)，; 


id; 和 代理 商 身 份 id， ， 
-U7+US)s+e, 。 
,SK,,C:) : 


5K, 和 二 级 密 文 C ， 


| 引 相 比 更 接近 0, 则 芒 =0; 否则 ,m=1 


(7) 一 
计算 普 =C -5 


比 更 接近 0， 
(8) 
作为 预言 机 : 


级 解密 Deci (params, SK;,C)) ; 


问 责 算 法 Tudge” (params,id,id,) : 


K?y(modg) ; 


则 w=0; 否则 ， 


m;=1; 


;计算 a 


密 钥 生成 ReKeyGen(mpk,s,idi,id,,id,) ; 输 
选择 e* 


=Urstm 4 |+e 5 


入 随机 向 量 s， 


由 用 


户主 计 


输入 重 密 钥 尺 
选 择 é@ or" » 
-SKiy+e; ， 输 出 一 级 密 文 C=(C1,y) 。 


yA 


inj y 代 
计算 


Sm= (mmm 


日 


H 输出 m= (m,m, 


输 m= (n,m,. 


J 


输入 5K; 和 二 级 密 
,11 ) ， 如 果 mi; 与 


Mn ) 。 


丛 入 SK; 和 一 级 密 文 5， 


邻 m=m,m,.…m,)， 如 果 m 与 |4| 相 


Tn) 。 


提供 一 个 解 


密 设备 D 


]) 重 复 下 面 的 实验 n=4/4 次 ,选择 均匀 随机 向 量 se2 和 


Ht 


明文 mm, 


C=(0,y); 


3.2 正确 性 
(1) 


运行 解 
2) 如 果 m'=m，, 输出 “Proxy” 


曙 密 设备 Ds ， 


m=C—SKiy(modg) 


计 移 C=Wr +UDs+m| +e ， 


二 级 密 文 解密 Dec,(params,SK,,C) 


y=47S+e ， 


有 
密 文 


将 C 作 为 Di 的 输入 ,输出 m'; 


退出 ; 否则 输 日 


=Urstm| |+e-X7(Ars + emodg) 


b“Delegator”。 


:202204.00075v1 


chinaXiv 


录用 定稿 孟 慧 ， 等 : 格 上 基于 身份 的 可 问 责 代 理 重 加 密 方案 


=UTs+m 四 +e—Urs— Xre(modg) 


=e— Xre+ 叫 引 (modg) 


因为 。 和 SK? 是 从 高 斯 分 布 的 集合 w 中 选择 的 ， 所 以 在 
=o 时，e-Xfe 小 于 |4|， 成 功 恢复 m。 


CO) 一 级 密 文 解 密 Deci(params, SK;,C;) 


CI=CI+ 一 SKY+e2 


=Urs+m 4 |+er(Uy Ur +Ur)s+e,— Xry+e, 
=UFs+e+e,— Xlete, tm 
m=C-C—SK?y(modg) 
=Ufs+et+e,— Xiete, tm -XT ars +e)(modg) 


=et+e:— Xle— Xete, +m| 4 emodg) 


因为 < ，e, ，es ，5K7 ，SKs? 是 从 高 斯 分 布 的 集合 内 中 
选择 的 , 所 以 在 ;= 时， ete- 和 eX5etes 小 于 | ?| ,成 功 恢 


复 m。 
3.3 多 跳 性 
代理 者 执行 第 一 次 重 加 密 : 
C=C +rh -SKIy+es 
代理 者 执行 第 二 次 重 加 密 : 
CQC =C+ as—SKiy+es 
=C, +rk ,+rk, » —2SK 二 2e， 


代理 者 执行 第 N-1 次 重 加 密 : 


Cy=Cy1trky yy 一 9 天 十 e? 


=Cy 2 +rky 2 svatrky yy 一 2 天 7 十 2e3 =... 


N-l1 
=C+> rk yn —(N-DSKIy+(N -De 
i=l 


N-1 
=C+> (UE -UF +Ur)s +e)—(N-DXIy+(N -le 
i=] 


-ofs+ 叫 ?+erCOF +U8)s+(NW-Dej-(N-DXTe+(N-De， 


-= 串 引 +e+ogs +(W-Dej-(W-DXT7e+(NW-De; 


完成 N-1 次 重 加 密 后 , 使 用 用 户 N 的 私 钥 5K, 完成 解密 : 


m= CN 一 SKYymodg) 


=m| S|+ervsst (ww-De, —(N-DXre+(N-le,— 
XL(ATs +e)(mod g) 


一: msl+e +(N-De:—-(N-DX?e+(N—le,— XXe(mod gq) 


当 e+(NW-Dej-(N-DX7e+(N-De: -Xe 小 于 加 时 ， 成 功 
恢复 m。 
4 ”安全 性 与 效率 分 析 


4.1 CPA 安全 
定理 4.1 令 4 为 安全 参数 ， 对 于 任意 明文 me{0,1} ， 若 
LWE 问题 在 多 项 式 时 间 是 不 可 解 的 , 则 该 方案 满足 IND-aID- 
CPA 安全 。 即 敌手 .4 在 多 项 式 时 间 t 内 成 功 攻破 方案 的 优势 
ADVINBG™* (1) < negl(4) 。 
证 明 : ”通过 证 明 下 列 游戏 的 不 可 区 分 性 来 证 明 PPT 敌 
手 A 成 功 攻 破 方案 的 优势 是 可 忽略 的 。 
游戏 1 原始 的 IND-aID-CPA 方案 。 


在 挑战 阶段 ， 当 挑 
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战 者 C 收 到 Gm,m) 后 ， 挑 选 其 中 一 个 明文 加 ， 计 算 挑 战 密 
文 C=(C,y) 给 敌手 A， 其 中 C=Urstm|4 |+e ， y=ATste 。 


最 后 , 敌手 A 猜测 bp , 若 猜 测 成 功 , 则 C 输 出 1, 否则 输出 0。 
游戏 2 在 游戏 2 中 和 矩阵 4e2” 与 矩阵 Vo,Ui…,Un e220” 
的 生成 方式 与 游戏 1 不 同 。 在 游戏 2 中 ， 挑 战 者 C 模 拟 真 实 
的 方案 ， 并 回答 敌手 A 的 各 种 问 询 。 首 先 挑战 者 模拟 真实 方 
案 如 下 : 
初始 阶段 : 挑战 者 C 选 择 一 个 随机 和 矩阵 4e2Zi” ,根据 以 下 
步 又 生成 U0,U1…sU eZ ; 
1) 挑 战 者 C 随 机 选择 服从 高 斯 分 布 Dww 的 m+l 个 矩阵 
DOD, Fp, Gi 
2) 计 算 AXi =Ui modqg，k=0,1,...m ; 
3) 若 生成 的 矩阵 Ui 是 线性 相关 的 ， 则 重新 选择 生成 X.。 
挑战 者 C 将 公共 参数 4e2” 和 Uo,V0.…U0。e24” 发 送 给 敌 


阶段 1: 敌手 A 可 以 进行 下 
可 答 敌 手 A 下 列 问 询 : 
(1) 代 理 密 钥 问 询 :代理 商 的 私 钥 X,e22” 是 由 挑战 者 C 均 
匀 随 机 选择 的 小 范 数 矩阵 , 计算 4X, = , 将 代理 商 的 私 钥 对 
5K, 发 送 给 -4; 

CO) 密 钥 提取 问 询 : 敌手 .4 发 送 用 户 身 份 巡 给 挑战 者 C，C 
计算 和 = 成 + 站 和 ， 所 以 4 -=w+Zdwanodg) 。 最 后 ，C 将 
X=X+2idX 发 送 给 A 作为 用 户 私 钥 ; 

(3) 重 加 密 密 钥 问 询 : 敌手 .4 发 送 身份 集 (id,idj,id,) 给 挑战 
者 C, 挑战 者 C 按 照 上 面 的 步 又 计算 生成 U0; ,Vj; 和 V0,，, 然后 ， 
使 用 计算 好 的 公 钥 计算 生成 重 密 钥 三 =(V7 -UF+Usp)s+tei， 
并 发 送 给 -4 。 
阶段 2( 挑 战 阶段 ): 当 挑 战 者 C 收 到 来 自 敌 手 -的 id ,om 。 


挑战 者 随机 选择 be{0 ,计算 C=Urs+m, s+e, y=Ars+e ， 


并 发 送 C'=(C,y) 给 敌手 。 最 后 敌手 -4 猜测 请， 如 果 之 = ， 则 
挑战 者 C 输 出 1， 否 则 输出 0。 

游戏 3 在 游戏 2 中 ， 通 过 加 密 算法 计算 生成 挑战 密 文 
C' 。 在 游戏 3 中 ， 直 接 从 2?xZ 中 随机 选择 C' 。 显 然 ， 敌 手 
A 在 游戏 3 中 可 获得 的 优势 为 0。 
通过 将 问题 规约 到 LWE 难题 来 证 明 两 个 游戏 的 不 可 
分 性 。 若 敌手 -4 能 够 区 分 两 个 游戏 的 优势 为 ， 则 使 用 下 孜 
的 算法 B 能 够 攻破 LWE 困难 问题 031。 

算法 B 收 到 了 随机 实例 (@i,3)e2;x2Z ,其 中 y=afs+ei， 
4=( man)，y 了 =(poym) 。 计 算 : 


重 一 系列 的 问 询 过 程 , 挑战 者 


[x| 


本 gq 
C ”= 在 7 十 1 二 
yl 
-rsrotmj?| 
=Urs+term|4| 
驴 


车 敌手 A 成 功 猜测 出 m, 则 算法 B 输出 1, 否则 输出 0。 
如 果 y 选 取 的 是 均匀 随机 的 向 量 , 则 C' 也 是 均匀 随机 的 ， 
敌手 A 以 不 超过 1/2 的 概率 成 功 猜测 出 m。 
若 y 是 由 y=4h7s+e 产生 的 , 则 C’ 也 是 均匀 分 布 的 。 此 时 
敌手 A 有 (+e)/2 的 优势 猜测 出 m， 算 法 B 同样 有 4Q+a)/2 的 
概率 输出 1。 即 算法 B 有 se/2 的 优势 解决 LWE 问题 。 但 是 ， 
LWE 为 格 上 难题 ， 算 法 B 不 能 求解 出 LWE 困难 问题 ， 所 以 
s/2 的 优势 是 可 忽略 的 。 
显然 ， 游 戏 2 和 游戏 3 是 不 可 区 分 的 。 因 此 ， 敌 手 A 在 
游戏 2 中 的 可 以 取得 优势 也 为 0。 
同样 地 ， 对 于 任意 PPT 敌手 .4 来 说 ， 游 戏 1 和 游戏 2 也 
是 不 可 区 分 的 。 由 于 和 矩阵 A 是 随机 的 ， 且 V0; 服从 高 斯 分 布 ， 
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根据 定理 3，AX, =U,modqg 上 的 分 布 与 2"” 上 的 均匀 分 布 在 统 。” 意 代理 安全 ， 即 敌手 A 输出 一 个 解密 算法 ， 使 审判 算法 输出 

计量 上 是 接近 的 ， 故 无 法 区 分 游戏 1 和 2。 因此， 敌手 A 在 。 “Proxy” 的 优势 是 可 忽略 的 。 

游戏 1 中 获得 的 优势 也 为 0。 证 明 为 了 证 明 方案 是 恶意 授权 者 安全 的 ， 提 出 以 下 两 
综 上 所 述 , 在 标准 模型 下 , APRE 方案 满足 IND-aID-CPA ”个 实验 ， 通 过 证 明 两 个 实验 的 不 可 区 分 性 和 在 实验 Exp 中 政 

安全 性 。 手 .A 的 优势 是 可 忽略 的 完成 恶意 授权 者 安全 的 证 明 。 

4.2 可 问 责 ! 实验 Exp。 原始 恶意 授权 者 安全 实验 。 当 敌手 A 输出 一 
为 了 证 明 方案 的 可 问 责 性 ， 本 文 将 证 明 方案 满足 恶意 代 ”个 能 够 以 不 可 忽略 的 概率 yt 获得 明文 的 解密 设备 py ， 挑 战 

理 安全 和 恶意 授权 者 安全 。 者 C 用 n 个 不 规则 明文 作为 输入 运行 解密 设备 D.,。 不 规则 密 


4.2.1 恶意 代理 安全 

定理 4.2 在 LWE 困难 问题 下 ， 若 敌手 -4 在 多 项 式 时 间 
t 内 成 功 诬陷 授权 者 的 优势 Apv 器 .0Dsnegl!) ， 则 方案 满足 恶 实验 Exp， 原始 恶意 授权 者 安全 对 比 实验 。 与 Expo 不 同 
意 代理 安全 ， 即 敌手 A 输出 一 个 解密 算法 ， 使 审判 算法 输出 。 是 审判 算法 的 输入 密 文 不 同 。 均 匀 随 机 的 选择 矩阵 Re2”， 
“Delegator” 的 优势 是 可 忽略 的 。 


™ 


文 为 c= +rUDstm ste ，Jy=47s+e ， 其 中 s 千 2 。 


密 文 为 G=CF+RDs+ 串 ?| ，Jy=4rs+e ， 其 中 ?和 二 24 。 


证 明 为 了 证 明 方案 是 恶意 代理 安全 的 ， 本 文 提出 以 下 
两 个 实验 ， 通 过 证 明 两 个 实验 的 不 可 区 分 性 和 在 实验 Exp, 中 接 下 来 使 用 引 理 4.3 和 引 理 4.4 证 明 以 上 两 个 实验 在 计 
敌手 A 的 优势 是 可 忽略 的 完成 恶意 代理 安全 的 证 明 。 算 上 的 不 可 区 分 性 ， 且 在 实验 Exp 中 敌手 成 功 诬陷 代理 商 的 
实验 Exp。 原始 恶意 代理 安全 实验 。 政 手 -4 输 出 一 个 能 ”概率 可 忽略 。 
够 以 不 可 忽略 的 概率 1 获得 明文 的 解密 设备 Dw， 挑战 者 C 用 引 理 4.3 ”基于 LWE 困难 问题 假设 下 ，Bxp, 与 Expo 在 计 
n 个 不 规则 明文 作为 输入 运行 解密 设备 P.,。 不 规则 密 文 为 ” 算 上 是 不 可 区 分 的 。 


C=(UF rUps+mlg |re ，y=47s+e ， 其 中 ss 车 2 。 使 用 游戏 2 中 的 方式 生成 Un Ui E 可 知 =U;modg 
2 的 分 布 与 22" 上 的 均匀 分 布 在 统计 量 上 相近 ， 故 得 证 。 
实验 Exp， 原始 恶意 代理 安全 对 比 实验 。 与 Exp, 的 不 同 引 理 44 “在 Exp 中 政 手 输出 一 个 解密 设备 ， 使 审判 算 
法 输出 “Proxy” 的 优势 是 可 忽略 的 。 


秆 于 不 规则 密 文 ，Exp, 中 密 文 为 C=U?s+m| |+e ，y=Ars+e ， 


解密 设备 Ds 的 输入 密 文 为 CG=(U7+R")s+m|4|+e ， 
其 中 和 2 。 2 


接 下 来 使 用 引 理 4.1 和 引 理 4.2 证 明 以 上 两 个 实验 在 计 y=4rs+e 。 由 于 R 是 均匀 随机 的 ，PDiw 输出 m'=m 的 概率 为 
算 上 的 不 可 区 分 性 ， 且 在 实验 Exp, 中 敌手 成 功放 陷 授权 者 的 1 a i 本 
概率 可 忽略 。 UIMI= 去 。 根 据 二 级 解密 算法 可 知 , 解密 结果 为 Rrs+e -Xfe+m| | 。 
引 理 4.1 基于 LWE 困难 问题 假设 下 ， Exp， 与 Expo 在 计 
算 上 是 不 可 区 分 的 。 


四 为 及 是 均匀 随机 的 ， 无 法 恢复 出 明文 m; 且 GW < 去 ， 可 


按照 游戏 2 中 的 步骤 生成 ,Di,…,U0， 可知 4X;=Uimodqg  ， 知 敌 手 -4 在 Exp 的 优势 是 可 忽略 的 。 
的 分 布 与 22"” 上 均匀 分 布 的 统计 量 相近 。 4.3 效率 分 析 
敌手 A 输出 一 个 解密 设备 Ds ， 挑 战 者 C 运 行 审 判 算法 文献 [13] 中 提出 的 可 问 责 代理 重 加 密 基于 DBDH 困难 假 
Judge™ : 设 , 计算 复杂 度 较 高 且 存 在 证 书 管理 问题 。 文献 [20] 中 提出 了 
1) 重 复 以 下 实验 an=4/4 次 。 均 匀 随 机 的 选择 向 量 *s2， ” 格 上 基于 身份 的 PRE 方案 , 该 方案 可 以 加 密 多 比特 信息 ,但 
是 方案 是 交互 式 的 ， 被 授权 者 需要 提供 自己 的 私 钥 来 生成 重 


re 中 和 明文 m， 计算 G-U7strtm|4|+e ，y=Ars+e ， 密 广 


密 钥 , 容易 造成 密 钥 泄露 的 问题 。 文 献 [21] 中 提出 单 跳 的 格 上 
C=(G,y) ; 运行 解密 设备 D, ， 并 将 C 作为 D 的 输入 ， 输 出 PRE 方案 ， 使 用 陷 门生 成 私 铀 。 本 文 所 提 方 案 完 成 了 可 问 责 
m'; 性 和 抗 合谋 攻击 的 设计 ;具有 单 向 性 和 多 跳 性 ， 密 文 扩展 性 
2) 如 果 m'=m，, 输出 “Proxy” 并 退出 ; 否则 输出 “Delegator”"。 良好 ; 能 够 抵抗 量子 攻击 。 表 1 给 出 了 文献 [13]、[20] 与 本 方 
oe 、 案 的 存储 空间 和 性 能 上 的 对 比 。 其中，|G| 是 群 G 中 元 素 的 个 
对 于 上 述 审判 算法 ， 若 >=e， 则 Ci =(V7+U?)s+tm| 生 |+2e， 和 上 、 
人 aes 融 数 ，lca| 表 示 G 中 元 素 的 位 长 ，logg 表示 log,4 。 表 2 选择 文 
时 C 成 功 模拟 实验 Exp ， 若 7= :37 ， 则 Go=Drs+m| 名 + 证 避 本 方案 的 三 个 烙 上 代理 于 加 密 方 案 进 行 计算 和 和 
2 通信 复杂 度 对 比 ， 其 中 ， 密 文 开销 指 lbit 明文 对 应 的 密 文大 

(e-X5e) ， 此 时 C 成 功 模拟 实验 Exp, ; 由 于 e 和 3, 均 服从 高 斯 小 ，MMM 为 矩阵 间 乘 法 ，MMA 为 矩阵 间 加 法 ，VMM 为 向 


分 布 ， 故 对 于 A 是 不 可 区 分 的 。 即 实验 Exp, 与 Exp 在 计算 上 量 和 矩阵 乘 法 ，VCM 为 常数 向 量 乘法 ，VVM 为 向 量 间 加 法 ， 
是 不 可 区 分 的 。 EGT 为 群 Gr 中 的 容 运 算 ，EG 为 群 G 中 的 寡 运 算 。 

引 理 4.2 ”在 Exp, 中 敌手 A 输出 一 个 解密 设备 , 使 得 审判 表 1 存储 空间 和 性 能 比较 
算法 输出 “Delegator” 的 优势 可 以 忽略 。 Tab. 1 Comparison of storage space and performance 

在 一 次 实验 中 ， 由 于 Exp 解密 设备 的 输入 密 文 方案 私 钥 尺寸 单 向 性 ”困难 问题 IBE ”可 问 责 性 
Grr0pstn| 外 ,9=As+e ,为 普通 密 文 ,所 以 Ds 将 op 和 
以 4 的 概率 返回 明文 m=m， 则 敌手 A 在 Exp, 中 的 优势 为 文献 [21] OGklogg) 是 LWE ” 否 否 

we 4 人 小 找 旦 本 文 方案 Ol(mnlogg) 是 LWE 是 是 

SO 结合 两 不 表格 的 比较 结果 ， 本 文 方案 在 私 钥 尺 寺 上 优 于 
4.2.2 恶意 授权 者 安全 文献 [21], 并 且 相 较 于 其 他 方案 满足 单 向 性 和 可 问 责 性 ; 计算 

定理 4.3 在 LWE 困难 假设 下 ， 若 敌手 -4 在 多 项 式 时 间 复杂 度 低 于 文献 [20], 且 密 钥 开 销 与 文献 [13]、 [21] 相 比较 低 。 


t 内 成 功 诬陷 代理 商 的 优势 ADV 栈 4() <nes1(4) ， 则 方案 满足 恶 。 因此 ， 本 文 方案 较为 良好 的 安全 性 和 较 高 的 效率 。 


录用 定稿 各 


表 2 计算 和 通信 复杂 度 比 较 


Tab.2 Comparison of computational and communication complexity 


方案 计算 复杂 度 密 文 开销 
2G7l+2|G 
文献 [13] 2EGT+2EG | a 
文献 [20] 2VMM+2VCM+3VVA 2 
2+nl 
文献 [21] 2MMM+2MMA+1VMM SH 
nlogn 
本 文 方案 2VMM+1VCM+3VVA 2 
5 ”结束 语 
本 文 提 出 了 一 个 格 上 基于 身份 的 可 问 责 代理 重 加 密 方案 。 


在 方案 中 ， 用 户 的 身份 被 计算 为 一 个 矩阵 作为 公 钥 ， 提 高 了 
私 钥 提 取 的 效率 ， 重 密 钥 由 用 户 公 钥 计算 生成 ， 具 有 非 交 互 
性 ;使 用 公共 问 责 算法 抑制 恶意 代理 商 洲 钥 的 行为 。 
该 方案 具有 单 向 性 和 多 跳 性 等 性 质 。 安 全 分 析 表 明 ， 方 案 满 
住 模型 下 的 IND-aID-CPA 安全 ; 效率 分 析 则 说 明了 方案 
在 存储 空间 和 性 能 方案 较 有 优势 。 但 是 方案 在 计算 效率 上 还 
有 一 定 的 优化 空间 ， 构 造 更 加 高 效 的 格 上 可 问 责 的 代理 重 加 
密 的 方案 也 是 未 来 的 研究 方向 。 
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